Faute de financement adéquat, tout notre système de soins risque de sombrer
Santhea interpelle les autorités: " La situation des hôpitaux en matière de cybersécurité est critique. En l'absence d'un financement adéquat, notre système de soins de santé restera à la merci des hackers, avec les conséquences que l'on connaît. "
La fédération hospitalière Santhea rappelle à quel point le secteur hospitalier et des institutions de soins est "vulnérable dans un contexte où le nombre et le degré de sophistication de ces menaces d'un genre nouveau ne fait que croître. Affaiblis plus que jamais financièrement et en termes de personnel par la crise sanitaire, dépourvus de subsides pour se prémunir face aux cyber-risques et privés du statut d'organismes essentiels à protéger, les hôpitaux représentent aujourd'hui une cible de choix pour les pirates qui écument l'internet. Faute de mesures et d'un financement structurel adéquat, c'est toute notre système de soins de santé qui risque de sombrer."
"Cette nouvelle attaque de hackers contre l'un des hôpitaux de notre pays (Vivalia, NDLR) n'a hélas rien d'étonnant lorsqu'on connaît la situation budgétaire catastrophique dans laquelle ceux-ci se retrouvent actuellement. Déjà affaiblis financièrement avant la crise sanitaire, celle-ci n'a fait que renforcer leur vulnérabilité, dans un contexte où ils ne bénéficient d'aucun subside, fédéral ou régional, pour se prémunir contre des cyber-risques pourtant de plus en plus nombreux et sophistiqués. Plus interpellant encore, nos hôpitaux ne sont même pas considérés à l'heure actuelle comme l'une des catégories de structures essentielles à protéger des pirates du web, ce statut leur étant refusé par les décideurs politiques belges", souligne Yves Smeets, directeur général de Santhea.
Directive européenne
Pour contextualiser, Santhea rappelle l'adoption en 2016 de la Directive européenne NIS (Network and Information System Security) visant à assurer un niveau de cybersécurité élevé et commun pour les réseaux et les systèmes d'information de l'Union européenne. Transposée en droit belge en 2019 seulement, elle impose une série d'obligations aux opérateurs de services essentiels (OSE) - identifiés comme tel par chaque autorité sectorielle nationale - en vue de mettre en place un système de gestion de la sécurité de l'information basé sur les normes ISO 27001/27002. "En tant qu'autorité sectorielle, le SPF Santé publique devait identifier les premiers OSE pour le 3 novembre 2019. Cependant, celui-ci n'a pas procédé à cette identification, privant ainsi le texte de ses effets dans le secteur des soins de santé. Une erreur qui n'a pas échappé aux yeux de la Commission européenne, celle-ci l'ayant pointée dès le 30 octobre 2020, parmi d'autres manquements de la Belgique en matière de mise en conformité à la Directive NIS."
Pour Santhea, face aux nombreuses cyberattaques (Chwapi, CHR Haute Senne, Clinique Sain-Luc...) dont le secteur a fait les frais dernièrement, il est essentiel et indispensable de définir un périmètre d'application de la directive et de la loi belge NIS dans le secteur de la santé, ainsi qu'un budget annuel structurel suffisant pour permettre la mise en oeuvre de cette réglementation et, plus largement, d'une politique de cybersécurité de qualité au sein des institutions de soins.
20 millions d'euros
La fédération estime que les 20 millions promis en 2022-2023 par le ministre des Affaires sociales et de la Santé publique pour renforcer leur niveau de cybersécurité ne peuvent pas rencontrer les besoins actuels. "Ainsi, selon une enquête récemment menée dans les hôpitaux flamands, le coût moyen qu'engendrent les efforts nécessaires en termes de cybersécurité serait passé de 368 euros par lit en 2019 à 484 euros par lit en 2020. En extrapolant ces chiffres, on arrive à un coût annuel de plus de 24 millions d'euros pour l'ensemble des hôpitaux généraux et psychiatriques belges. L'adaptation de leur niveau de maturité au niveau de cybermenace actuel et futur nécessiterait par conséquent un financement structurel. Faute de quoi, le risque encouru par les hôpitaux et leurs patients ne fera que se renforcer avec le temps", prévient Santhea.
Santhea demande aux autorités de prendre la mesure de l'urgence en la matière, avant que ne survienne le premier décès belge imputé officiellement à une cyberattaque. Ce qui est arrivé à une patiente de l'hôpital universitaire de Düsseldorf en septembre 2020.
Ne pas semer la panique
Oui, un financement structurel de la cybersécurité est plus que bienvenu et également nécessaire pour que les hôpitaux et les établissements de soins puissent évoluer vers une approche commune et plus uniforme. "Mais nous ne devons pas non plus semer la panique."
C'est ce qu'affirme Peter Raeymaekers, expert chargé de la technologie et de l'innovation au sein de l'organisation flamande de coordination des soins de santé Zorgnet-Icuro. L'attention des médias s'est récemment concentrée sur la cyberattaque qui a frappé les hôpitaux du groupe Vivalia les 13 et 14 mai, mais les hôpitaux flamands ne sont pas non plus épargnés par les attaques de pirates informatiques. Les attaques sont quotidiennes. Les incidents réels - avec de graves conséquences opérationnelles - se limitent à deux ou trois par an en Belgique, estime Raeymaekers. Un incident ayant un impact direct sur les activités médicales, comme dans les hôpitaux de Vivalia, est plutôt rare.
La situation de Vivalia est préoccupante, reconnaît Raeymaekers. Zorgnet-Icuro se réjouit donc du budget de 20 millions d'euros que le ministre Frank Vandenbroucke a débloqué pour la cybersécurité pour 2022-2023. Selon Peter Raeymaekers, il s'agit d'un montant "significatif" par rapport, par exemple, au budget prévu pour le DPI. "Cependant, il est important que ce financement de la cybersécurité devienne structurel, car ce sujet ne disparaît pas."
Hétérogénéité
En général, les hôpitaux belges sont "bien" protégés contre les cyberattaques, selon M. Raeymaekers. L'expert met en garde contre l'alarmisme. "Cependant, il existe aujourd'hui une grande hétérogénéité entre les hôpitaux et certaines nouvelles mesures de sécurité pèsent financièrement trop lourd pour certains hôpitaux."
Pour évoluer vers une plus grande coopération entre les hôpitaux, comme le recommande le Conseil fédéral des établissements hospitaliers dans un récent rapport consultatif (voir page 18), il est important de niveler cette hétérogénéité et de mettre (tous) les hôpitaux sur la même longueur d'onde, déclare Raeymaekers. L'organisation faîtière des soins de santé pointe les avantages d'unir ses forces. "De nombreux progrès peuvent encore être réalisés dans le domaine de la surveillance et de l'alerte. Une approche commune permet également de regrouper les risques liés à la sécurité lors des négociations avec les assureurs, et de garder les primes sous contrôle."
"Si vous savez que ce financement structurel est ou sera mis en place, vous pouvez y travailler en tant que secteur", conclut Peter Raeymaekers. "Le financement structurel de la cybersécurité nous permettra de planifier à long terme."